0
Locky er tilbage.
Billede: Cisco Talos
En af de mest succesfulde familier af ransomware er vendt tilbage igen, med en ny e-mail-spam kampagne, der er designet til at inficere ofre med fil-kryptering af malware.
Locky var en af de første store former for ransomware til at blive en succes på verdensplan, og på et tidspunkt var en af de mest almindelige former for malware i sin egen ret.
Dog angreb distribuere Locky er faldet i år, og mens det var engang kongen af ransomware, dens titel er blevet tilranet — Cerber nu dominerer markedet.
Men det betyder ikke, Locky ikke længere udgør en trussel. Efter det bliver mørkt om et par måneder-selv til det punkt, hvor det ikke var ved at blive fordelt på alle — ransomware er igen ved at blive spredt gennem Necurs botnet.
Men denne gang er det ved at blive fordelt med en ny file extension kaldet Diablo6, ifølge Malwarebytes forskere, der har observeret den nye kampagne. Den nye Diablo variant opkald, tilbage til en anden kommando og kontrol-server end tidligere Locky kampagner.
Som andre ransomware familier, Locky er distribueret via brugen af spam e-mails; denne særlige kampagne sender dem i form af PDF-filer med integrerede .DOCM filer.
Hvis brugeren henter den vedhæftede fil, og gør det muligt for makroer, som nyttelasten anmodninger, vil de snart opdage, at de har mistet adgang til filer på deres computer, og får at vide, at de er nødt til at betale en løsesum for at få den “private nøgle” fra den “hemmelige server” på angriberne.
Mens Locky er langt mindre udbredt, end det har været, det er fortsat en risiko for, at organisationer, der på grund af sin stærke kryptografi og det faktum, at dem, der står bag det stadig opdatere og ændre nyttelast og den taktik, der anvendes til at levere det.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
“Op-og nedture Locky forbliver indhyllet i mystik. En ting tid har lært os, er, at vi bør aldrig antage, Locky er væk, simpelthen fordi det ikke er aktive på et bestemt givet tidspunkt,” siger Marcelo Rivero, efterretnings-analytiker hos Malwarebytes.
Det er ikke første gang, Locky har genopstod efter tilsyneladende at forsvinde. Det viste sig at ophøre med aktiviteten over Jul 2016, førende forskere til at spekulere, at udviklerne havde taget en pause i juledagene. Sikker nok, er det igen op i januar og infektioner har været at tilsætte og faldende lige siden.
Den pludselige genkomst af Locky potentielt kan henføres til dekryptering værktøjer til Jaff ransomware, der bliver stillet til rådighed til fri i juni. Jaff udkom i Maj og blev spredt af samme Necurs botnet bruges til at distribuere Locky.
Cyberkriminelle implementere ransomware, fordi det giver dem mulighed for at høste store gevinster ved hjælp af en lille indsats. Derfor kunne det være tilfældet, at når Jaff — som forlangte en løsesum på $4.000, og der anvendes en decryptor næsten identisk med Locky — var knækket af professionelle sikkerhedsfolk, de kriminelle bag det har simpelthen gået tilbage til at bruge Locky.
Mens dem, der står bag Locky er endnu ikke identificeret, forskere har bemærket, at ransomware vil slette sig selv fra den inficerede maskine, hvis det lokale sprog er russisk, muligvis peger i retning af den geografiske placering af udviklere.
Tidligere dækning
The godfather af ransomware returnerer: Locky er tilbage og sneakier end nogensinde
Efter en mystisk forsvinden, Locky har genopstod — og låne angreb teknikker fra Dridex.
Locky ransomware: Hvordan denne malware trussel udviklet sig på bare 12 måneder
Malware kommer flere opdateringer, som det forsøger at undgå opdagelse ved sikkerhedsfirmaer.
Locky ransomware kampagnen udnytter frygt for stjålne data i OPM hack
E-mails fortælle ofre, de har brug for at downloade en fil for at få vist “mistænkelige aktiviteter” – derefter inficerer dem med ransomware.
LÆS MERE OM IT-KRIMINALITET
Ransomware: smart person ‘ s guide [TechRepublic] Ikke mere ransomware: Hvordan en hjemmeside er at stoppe crypto-låsning skurke i deres tracksAfter WannaCry, ransomware vil blive værre, før det bliver betterMalware nu kommer med kundeservice [CNET]Cyberkriminalitet Inc: Hvordan hacking bander er modellering selv om big business
0